Responsabilidad del tratamiento en la contratación de agencias de viaje


Josep Aragonés Salvat     15/07/2020

En este documento identificaremos las responsabilidades de cada uno de los intervinientes en el tratamiento de datos personales en la contratación de viajes.

Las agencias de viajes son empresas que se dedican profesional y comercialmente en exclusiva al ejercicio de mediación y/u organización de servicios turísticos, pudiendo utilizar también, en determinadas ocasiones, medios propios en la prestación de los mismos.

En dicha contratación nos encontramos con varias figuras con responsabilidades distintas. Vamos a detallar las posibilidades existentes para cada caso:

Tipos de agencias de viajes

  • Mayorista (productor): la agencia que proyecta, elabora y organiza viajes y servicios turísticos. Su producto será comercializado a través de las agencias minoristas, no pudiendo ofrecer sus productos directamente a la persona usuaria o consumidora (consumidor final).
  • Minorista (intermediarios o detallistas): la agencia que comercializa el producto de las agencias mayoristas con la venta directa al consumidor final por cualquier medio (presencial, web, app, e-mail o teléfono). También puede producir pequeños paquetes compuestos fundamentalmente de servicios turísticos sueltos directamente al consumidor final, no pudiendo ofrecerlos a otras agencias.
  • Mayoristas/minoristas (mixtas): las agencias que puede simultanear las actividades de los dos grupos anteriores, o sea, puede crear productos y venderlos a través de sus propias redes de agencias minoristas; o venderlos directamente al consumidor final.

Normalmente, las agencias mixtas nacen como agencias minoristas que amplían su red de ventas a medida que van creando sus propios productos. Cuando la dimensión de su red es muy amplia se reconvierten en mayoristas.

Responsabilidades de los intervinientes en el tratamiento

Las agencias mayoristas y mixtas siempre intervendrán ante los interesados (consumidores finales) como responsables del tratamiento, ya que determinan los fines del tratamiento y los medios para alcanzarlos.

Las agencias minoristas solo intervendrán como responsables del tratamiento ante los interesados cuando comercializan sus propios productos. Cuando comercializan productos de agencias mayoristas intervendrán como encargados del tratamiento de estas.

Las agencias minoristas también intervendrán como responsables del tratamiento cuando realicen operaciones directas con los interesados, como el envío de publicidad, márquetin, etc. o por el simple hecho de mantener los datos de contacto.

En lo que al tratamiento de datos personales se refiere, la relación de la agencia de viajes con los proveedores de los servicios combinados (vuelos, hoteles, transportes, alquiler de coches, servicios turísticos, etc.) se basará en una comunicación de datos personales de los consumidores finales (interesados) a estos destinatarios proveedores de los servicios combinados, previamente informada a los interesados, por lo que ambos intervendrán como responsables del tratamiento de las personas que contraten dichos servicios.

Cuando la agencia de viajes comparte los datos personales de los contratantes con los proveedores que les ofrecerán servicios turísticos mediante una única plataforma online, intervendrán como corresponsables del tratamiento en relación con los datos compartidos, de tal forma que deberán informar al interesado de las responsabilidades adquiridas por cada corresponsable.

Por tanto, podemos concluir que en lo referente a la responsabilidad del tratamiento de datos personales, nos podríamos encontrar dos casos:

1. La relación entre una agencia de viaje y sus proveedores, al no compartir ni fines ni medios del tratamiento, cada uno es responsable del tratamiento dentro de su actividad, porque:

    • aunque tratan los mismos datos
    • lo hacen con fines distintos
    • y medios propios

2. Cuando se incorpora en una misma plataforma a una agencia de viaje y sus proveedores, estaríamos ante un caso de corresponsabilidad del tratamiento (art. 26 GDPR), porque:

    • todos deciden sobre el tratamiento de datos personales
    • aunque con fines distintos
    • pero comparten los medios

En este caso, los corresponsables deberán formalizar un acuerdo mutuo, de modo transparente con sus respectivas responsabilidades en el cumplimiento de las obligaciones impuestas por el GDPR.

Ejemplos de una reserva de viaje en los dos casos descritos:

1. Una agencia de viajes envía datos personales de sus clientes a una compañía aérea y a una cadena hotelera para hacer las reservas de un paquete de viaje. La compañía aérea y el hotel confirman la disponibilidad de los asientos y habitaciones solicitados. La agencia de viajes emite los documentos de viaje y talones para sus clientes.

En este caso, la agencia de viajes, la compañía aérea y el hotel serán tres responsables del tratamiento distintos, cada uno de los cuales estará sujeto a las obligaciones en materia de protección de datos que correspondan a su propio tratamiento de datos personales.

2. La agencia de viajes, la cadena hotelera y la compañía aérea deciden crear una plataforma común en Internet para mejorar su cooperación en el ámbito de la gestión de las reservas de viajes. Acuerdan los elementos importantes de los medios que van a utilizar, como el tipo de datos que se almacenarán, la forma en que se realizarán y confirmarán las reservas o quién tendrá acceso a la información almacenada. Además, deciden compartir los datos de sus clientes para realizar acciones integradas de marketing.

En este caso, la agencia de viajes, la aerolínea y la cadena hotelera tendrán un control conjunto sobre la manera en que se tratarán los datos personales de sus clientes respectivos y, por lo tanto, serán conjuntamente responsables del tratamiento (corresponsables) en lo relativo a las operaciones de tratamiento relacionadas con su plataforma común de reservas en Internet.